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(M) Sicherheitssystem zum Identifizieren und Authentisieren von Kommunikationspartnern 

(g) Die erflndungsgemaSe Losung betrifft ein Sicherheitssy- 
stem, das eine eindeutige Identifizlerung und Authentisie- 
rung von Kommunikationspartnern ermoglicht und somitdie 
notwendige Sicherheit fur den Austausch von vertrauiichen 
Informationen gewahrleistet. 

Voraussetzung ist, daS alle Kommunikationspartner mit 
einem individuellen Sicherheitsmodul ausgestattet sind und 
uber sicherheitstechnische Einrichtungen STE verfiigen. Der 
Verbindungsaufbau wird von den STE iibernommen. Dabei 
wird geprCift, ob beim Kommunikationspartner ebenfalls eine 
aktivierte STE vorhanden ist. Mit dieser STE wird ein 
Informationsaustausch und ein Authentikations- und Schlus- 
selaustauschprotokoll vorgenommen. Danach erfolgt eine 
personliche Authentizierung und die Betriebsartentschei- 
dung einschlieSlich evtl. erforderlicher Schlusselvereinba- 
rung. 

Mittels der erfindungsgemaBen Losung warden sowohl die 
Sicherheit der Kommunikationspartner als auch die Sicher- 
heit des Kartenterminals in die Priifung auf Informationssi- 
cherheit einbezogen. 
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Beschreibung 

Die Erfindung betrifft ein Sicherheitssystem zum 
Identifizieren und Authentisieren von Kommunika- 
tionspartnern der im Oberbegriff des Patentanspruch 1 5 
naher definierten Art, welche die Informationssicherheit 
mit Sicherheiismeclianismen von hoher Wirksamkeit 
erreicht. Sie schiitzt insbesondere gegen die Bedrohun- 
gen: 

10 

— Verlust der Vertraulichkeit (Schutz vor unbefug- 
ter Preisgabe von Informationen) 

— Verlust der Integritat (Schutz vor unbefugter 
Anderung von Informationen) 

— Verlust der Anonymitat (Schutz vor unbefugter 15 
Preisgabe der Identitat). 

Zusatzlich bietet ein Kommunikationssystem, das mit 
diesen Einrichtungen ausgestattet ist, die Moglichkeit, 
daS der Zugriff auf Computersysteme, die in diesem 20 
Kommunikationsnetz betrieben werden, gesichert wird. 

Bestehende Kommunikationsinfrastrukturen verfii- 
gen im allgemeinen nicht iiber ausreichende Mechanis- 
men, daB Kommunikationspartner sich gegenseitig ein- 
deutig identifizieren und authentisieren konnen, um an- 25 
schlieBend und vertraulich Informationen auszutau- 
schen. Erst durch erhebliche Eingriffe in die benutzten 
Kommunikationssysteme konnen die Partner nach vor- 
herigen Verabredungen notwendiger Parameter die 
Prozesse aktivieren, die z. B. durch kryptographische 30 
Verfahren. einen vertrauenswiirdigeren Informations- 
austausch gestatten und in der Regel noch zusatzliche 
MaBnahmen notwendig machen. Geeignete kryptogra- 
phische Verfahren gestatten grundsatzlich eine vertrau- 
liche Kommunikation. 35 

Durch den Einsatz von geeigneten Sicherheitsmodu- 
len (wie z. B. Chipkarten) ist eine Identifikation von Be- 
nutzern auf eine hochst vertrauenswiirdige Weise mog-' 
lich. 

Geeignete Chipkarten lassen den Zugriff auf interne 40 
Funktionen und Daten nur dann zu. wenn sich ein Be- 
nutzer gegenuber der Chipkarte durch ein Merkmal 
Oder Geheimnis (personliche Geheimzahl, Fingerprint, 
etc.) eindeutig identifiziert. Fur die Identifikation des 
Benutzers gegenuber der Chipkarte muB ein Kartenter- 45 
minal verwendet werden. Auch die Sicherheit des Kar- 
tenterminals muB in die Betrachtung der Informations- 
sicherheit einbezogen werden. Das Kartentet-minal hat 
sich deshalb ebenfalls gegenuber der Chipkarte des Be- 
nutzers eindeutig zu identifizieren. 50 

Mit der vorliegenden Erfindung soli ein vom K.ommu- 
nikationssystem unabhangiges Sicherheitssystem ge- 
schaffen werden, das die Identifikation von Benutzern 
mit einer Chipkarte bei Einsatz eines Chipkartentermi- 
nals mit der gegenseitigen Authentikation von Benut- 55 
zern, dem Parameteraustausch fur den Einsatz krypto- 
graphischer Verfahren und deren Anwendung fiir den 
vertraulichen Informattonsaustausch zwischen Kommu- 
nikationspartnern verkniipft. Dazu soli kein Eingriff in 
die bestehenden Kommunikationssysteme notwendig eo 
sein. 

Diese Aufgabe wird erfindungsgemaB entsprechend 
dem Kennzeichen des Patentanspruchs 1 gelost. 

Vorteilhafte Weiterbildungen der Erfindung sind in 
den Kennzeichen der Patentanspriiche 2 bis 8 beschrie- es 
ben. 

Unter Verwendung eines individuellen und personali- 
sierbaren Sicherheitsmoduls (z. B. einer Chipkarte) und 
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den Sicherheitsfunktionen von sicherheitstechnischen 
Einrichtungen (kurz STE) wird der authentische und 
vertrauliche Informationsaustausch in Kommunika- 
tionssystemen, — hierzu zahlen sSmtliche Daten- und 
Computernetze im lokalen wie auch im Weitverkehrs- 
betrieb — fiir die digitale Obertragung von Daten und 
Sprache gewahrleistet. 

Die sicherheitstechnischen Einrichtungen sind gemSB 
dieser Erfindung in bestehende Kommunikationsinfra- 
strukturen als aktive Komponenten integrierbar und 
konnen zusatzlich einen gesicherten Zugriff auf vorhan- 
dene Informationssysteme gewahrleisten. Fur diese In- 
formationssysteme soUen keine oder nur minimale Er- 
weiterungen oder Konfigurationsanderungen notwen- 
dig werden. 

Wichtiges technisches Merkmal der STE ist, daB Be- 
nutzer sich eindeutig mit Hilfe von personalisierten Si- 
cherheitsmodulen identifizieren und authentisieren 
mussen. Es ist allerdings auch moglich, daB die Funktio- 
nalitat eines personalisierten Sicherheitsmoduls in die 
STE integriert wird. 

Nachfolgend wird die Erfindung anhand von AusfCih- 
rungsbeispielen naher erlauterL In den zugehorigen 
Zeichnungen zeigen die: 

Fig. 1 eine Identifikation und Authentisierung der 
personalisierbaren Sicherheitsmodule und der sicher- 
heitstechnischen Endeinrichtungen, 

Fig. 2 eine Grundstruktur einer systemunabhangigen 
sicherheitstechnischen Endeinrichtung bzw. Security 
Base und die 

Fig. 3 einen Einsatz von STE und Security Base als 
systemunabhangige Sicherheitseinrichtungen Voraus- 
setzung fiir die authentische und vertrauliche Kommu- 
nikation ist, daB alle Kommunikationspartner (Teilneh- 
mer) mit einem individuellen Sicherheitsmodul (Chip- 
karte) ausgestattet sind und fiber eine STE verfiigen. 

Will ein Teilnehmer sicher mit einem Partner kommu- 
nizieren, so muB er eine giiltige Chipkarte in die STE 
oder einen Kartenleser der STE einfiihren. Der Teilneh- 
mer muB sich gegenuber der Chipkarte durch Eingabe 
eines personlichen Merkmals (z. B. PIN = personliche 
Identifikationsnummer) identiifizieren. Die Chipkarte 
authentisiert sich mit einem geeigneten Verfahren ge- 
geniiber der STE und die STE authentisiert sich gegen- 
uber der Chipkarte, so daB alle Komponenten ihre Au- 
thentizitat beweisen konnen. 

Die hierfiir zum Einsatz kommende Methode kann 
ein sogenanntes "challenge-response" Verfahren sein, 
das mittels eines Chiffrieralgorithmus und eines Ge- 
heimnisses (Schliissel) zwischen den Komponenten eine 
verschliisselte Zufallszahl austauschen (Authentisie- 
rungsparameter) und dadurch der Gegenseite den Be- 
sitz des Geheimnisses beweis, ohne daB dieses selbst 
preisgegeben werden muS. So kann die Chipkarte eine 
von der STE erhaltene verschliisselte Zufallszahl dechif- 
frieren und an die STE zuriickschicken, womit die Chip- 
karte beweist, daB sie im Besitz eins Geheimnisses ist 
(korrekter Entschliisselungsschliissel) und somit ihre 
Authentizitat beweist Die Authentikation der STE ge- 
genuber der Chipkarte lauft analog. 

Aus Sicherheitsgrunden und praktischen Erwagun- 
gen soil die STE, die systemunabhangig ist, weil sie ge- 
maB dieser Erfindung als systemunabhangige Kompo- 
nente in die bestehende Infrastruktur integriert wird, 
moglichst direkt zwischen der bestehenden Kommuni- 
kationseinrichtung und dem AnschluB dieser an das 
Kommunikationsnetz installiert werden. 

Versucht nun die Kommunikationseinrichtung eine 
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Verbindung zu einem Partner aufzubauen, so wird die 
STE seibstandig aktiv und schaliet sich in den ICommu- 
nikationsfiuB ein. Zunaclist versucht die STE Informa- 
tionen mit der gegenseitigen STE des Kommunikations- 
partners auszutauschen. 5 

Gelingt dies nicht, (weil die z. B. gegenseinge STE 
nicht aktiviert wurde oder nicht vorhanden ist), so lauft 
die Kommunikation in gewohnter Form ab, wobei die 
STE eine Warnfunktion aktiviert. Diese Warnung an 
den Benutzer kann auf einem Display, durch Signallam- lo 
pen, einem Signalton oder ahnlichem ausgefiihrt wer- 
den. 

Wird von der STE eine gegenseitige STE erkanni, so 
wird mit Hiife eines Authentikations- und Schlusselaus- 
tauschprotokolls ein Versclilusselungsschlussel (Sit- 15 
zungsschlussei) fur ein Chiffrierverfahren zwischen bei- 
den STE ausgehandelt. Das fur die Erfindung verwende- 
te Authentikationsprotokoil bietet dabei die sichere ge- 
genseitige Authentikation der Chipkarten der Kommu- 
nikationspariner, den verwendeten sicherheitstechni- 20 
schen Endelnrichtungen (STE) und ubernimmt den 
Schliisselaustausch. Dazu werden sogenannte "public- 
key" Verfahren eingesetzt. 

Diese Verfahren zeichnen sich dadurch aus, daB fur 
die VerschlQsselung ein anderer Schlussei ais fiir die 25 
Entschlusselung verwendet wird. Daher kann einer der 
beiden Schlussei fur eine Verifikation veroffentlicht 
werden. Die Authentizitat der verwendeten offentlichen 
Schlussei wird durch die Prufung einer elektronischen 
Unterschrift eines Zertifikates, das den Teilnehmer- 30 
schlussei inklusive der Teilnehmeridentitat und Zusatz- 
informationen enihalt, gewahrleistet. Dieses Zertifikat 
wird von einer vertrauenswurdigen dritten Insianz her- 
ausgegeben, die auch als Ausgabesieile der verwende- 
ten Sicherheitsmodule wirken kann. 35 

Die Identiiat des Kommunikationspartners, basie- 
rend auf dem in die STE eingefuhrten Sicherheitsmodul; 
wird der jeweiligen Gegenseite angezeigt, so daB nur 
mit dem Einverstandnis des STE-Benutzers eine Kom- 
munikation mit dem Partner moglich wird. Dazu verfugt 40 
die Erfindung iiber eine Eingabefunktion, die entweder 
uber das angeschlossene Kommunikationsendgerat 
Oder direkt an der STE betatigt werden kann. 

Nach dem vertrauenswurdigen Schliisselaustausch 
werden die Informationen zwischen den Kommunika- 45 
tionspartnern von STE zu STE mit dem Sitzungsschlus- 
sel chiffriert iibertragen. 

Die Kommunikationspartner. die mit Chipkarie und 
STE ausgestaitet sind, konnen somit ein geschlossenes 
Netz innerhalb einer offenen Kommunikationsinfra- 50 
struktur bilden. 

Die Erfindung kann optimal zusatzlich gemaB der An- 
spruche die Moglichkeit bieten, daB durch eine oder 
mehrere entsprechend erweiterte STE, sogenannte Se- 
curity Basis (SB), Authentifikationsinformationen und 55 
Capabilities an die Kommunikationssysteme (beliebige 
Endelnrichtungen in bestehenden Netzen), nach der Au- 
thentikation iibertragen werden. Mit Hilfe dieser Benut- 
zerkennungen und Capabilities kann ein Kommunika- 
tionssystem die Zugriffsrechte auch von diesen verwal- eo 
teten Objekien regeln. Diese Leistung wird dadurch er- 
bracht, daO die in der SB definierten Benutzerbzw. Teii- 
nehmerkennungen und Capabilities gespeichert und 
nach dem Ablauf der oben beschriebenen Authentika- 
tionsprozedur an das Endgerat ubertragen werden. 65 

Die Erfindung sieht vor, daB ein bestehendes Kom- 
munikationssystem mit einem Modul (Security-Damon) 
ausgestattei werden kann, das die Capabilities korrekt 
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entgegen nimmt und einer Systemverwaltung zur Wei- 
terverarbeitung ubergibt. 

Eine SB kann zentrale Sicherheitsmanagementaufga- 
ben in einem Kommunikationsnetz iibernehmen, indem 
sie fiir alle Teilnehmer Capabilities verwaitet. 

STE und SB verfugen uber Administrationsschnitt- 
stellen, die einem autorisierten Systemverwalter Zu- 
gang fiir Konfigurationsmoglichkeiten gestattet. Uber 
eine derartige Schnittstelle konnen auch Zertifikate fur 
Benutzer einschiieBlich offentlicher Schliissel geladen 
werden. STE und SB sind Kommunikationssysteme, de- 
ren Kommunikationsfahigkeit an die jeweiligen System- 
schnittstellen angepaBt werden kann. So konnen spe- 
ziell konfigurierte STE/SB in einem z. B. lokalen Netz- 
werk betrieben werden, wenn die STE/SB fur das ver- 
wendete Kommunikationsprotokoll mit entsprechender 
Schnittstelle ausgeriistet wurde. Die Authentikations- 
und Chiffrierverfahren als zentrale Sicherheitsmecha- 
nismen werden unabhangig von der Systemkonfigura- 
tion immer mit gleicher Sicherheit bereitgestelh. 

Die Sicherheitsfunktionen der STE und SB konnen 
auch angeboten werden, wenn nicht ein Stcherheitsmo- 
dul von einem Benutzer. verwendet wird, sondern ein 
integraler Bestandteil einer speziellen STE bzvv. SB ist. 
Die STE und SB wirken dann in einem benutzerlosen 
automatischen Betrieb. Dieser Betriebsmodus wird ei- 
ner Gegenstelle wahrend der Verbindungsaufbauphase 
signalisiert, so daB die Gegenstelle entscheiden kann, ob 
sie den Verbindungswunsch ablehnt oder annimmt. 
Auch ist der ausschlieBlich automatische Betrieb zwi- 
schen Kommunikationssystemen moglich. 

]ede STE und SB ist eindeutig von einer dritten In- 
stanz personalisierbar, so daB sie durch das Authentika- 
tionsprotokoil von einer Gegenstelle eindeutig identifi- 
ziert und authentisiert werden kann. 

STE und SB enthalten eine Protokollierungskompo- 
nente, mit der es fiir den berechtigten Benutzer moglich 
ist, Ereignisse, wie z. B. berechtigte und unberechtigte 
oder abgelehnte Verbindungsaufbauten, Konfigura- 
tionsanderungen, abgebrochene Ubertragungen usw., 
nachtraglich zu kontroUieren. 

Patentanspriiche 

1. Sicherheitssystem zum Identifizieren und Au- 
thentisieren von Kommunikationspartnern fiir 
Verbindungen iiber Kommunikationsnetze mit di- 
gitaler Obertragung, dadurch gekennzeichnet, 
daB mindestens alien sicherheitsbediirftigen Kom- 
munikationspartnern, unabhangig vom verwende- 
ten Informationssystem, jeweils an der Schnittstelle 
zwischen der zu sichernden Kommunikationsein- 
richtung und dem Kommunikationsnetz, je eine 
dem Netz angepaBte Sicherheitstechnische Ein- 
richtung (nachfolgend STE) mit Eigenschaften ei- 
ner Endeinrichtung beziehungsweise eine zur Si- 
cherheitsbasis (nachfolgend SB) erweiterte STE, 
ein individueller Sicherheitsmodul und ein personli- 
ches Merkmal zugeordnet werden, daB der Verbin- 
dungsaufbau von der STE bzw. SB ubernommen 
wird und mit einer Prufung verbunden ist, ob beim 
gerufenen Kommunikauonspartner ebenfalls eine 
aktivierte STE bzw. SB erreicht wird und mit dieser 
ein Informationsaustausch und ein Authentika- 
tions- und SchlusselaustauschprotokoU vorgenom- 
men werden kann bzw. ob ein Warnsignal zu akti- 
vieren ist, daB erst danach eine personliche Authen- 
tisierung und die Betriebsartenentscheidung ein- 
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schiieSIich evtl. erforderlicher Schlusselvereinba- »/ 
rung durchgefiihri wird. 

2. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE bzw. SB fur eine automa- 
tische Kommunikation mit einem Sicherheits-Ma- 5 
nagement Center (nachfolgend SMC) vorgesehen 
sind. 

3. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet, daB die STE bzw. SB mit Rechteda- 
teien versehen sind, die Eintrage und evtl. Lei- 10 
stungsmerkmale enthalten, wer in welchen Be- 
triebsarten und evtl. mit welchen Pannern kommu- 
nizieren kann. 

4. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE bzw. SB uber eine Proto- 15 
koliierungskomponente verfiigen, die relevante Er- 
eignisse aufzetchnet und kontrollfahig gestaltet. 

5. Sicherheitssystem nach Anspruch 1 bis 4, dadurch 
gekennzeichnet daB die Rechtedateien und Proto- 
kollierungskomponenten teils lokal und tails vom 20 
SMC und teils von beiden Seiten beeinfluBbar sind 
und daB Ereignisse an das SMC gemeldet werden. 

6. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE/SB bzw. SMC fur ein 
dezentrales bzw. zentrales Sicherheits- und Schliis- 25 
selmanagement mit gespeicherten Zertifikaten und 
Schlusseln vorgesehen sind. 

7. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE und SB eine digitale Un- 
terschrift, eine Verifizierung von elektronischen 30 
Unterschriften und eine Ver- und Entschlusselung 
als integrierten Dienst bereitstellen. 

8. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet daB die STE/SB und SMC mit opti- 
schen bzw. akustischen Signalisierungsmitteln ver- 35 
sehen sind. 
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